黑客玩具入門——3、NMAP入門

1、Nmap基礎

Nmap是主機掃描工具，它的圖形化界面是Zebmap，分佈式框架是Dnmap，Nmap可以完成諸如：主機探測、端口掃描、版本檢測、系統監測等。並且支持探測腳本的編寫。

Nmap在實際應用中大概有如下場景：

1. 通過對設備或防火牆的探測來審計它的安全性。
2. 探測目標主機所開放的端口。
3. 通過識別新的服務器審計網絡的安全性。
4. 探測網絡上的主機。

Nmap的基本操作：

1. nmap [ip]：對單個主機的掃描。
2. namp [ip] [ip] [ip]：對多個不連續的主機進行掃描。
3. namp xxx.xxx.xxx.100-200：對連續的主機進行掃描。
4. namp xxx.xxx.xxx.1-255：對整個子網進行掃描。

2、Nmap端口掃描

首先，端口是設備與外界通訊交流的出口。端口可分爲虛擬端口和物理端口，虛擬端口指計算機內部的不可見端口，例如計算機中的80端口、21端口、443端口等。物理端口又稱爲接口，比如計算機背板的RJ45網口。端口對應着服務和軟件， 端口的範圍是0~65535。

下面我們看下常見的端口及其說明，以及大概的攻擊方向：

1. 文件共享服務端口
   1. 21、22、29，Ftp/Tftp文件傳輸協議，允許匿名的上傳、下載、爆破以及嗅探操作等。
   2. 2049，Nfs服務，配置不當。
   3. 139，Samba服務，爆破、未授權訪問、遠程代碼執行。
   4. 389，Ldap目錄訪問協議，注入、允許匿名訪問，弱口令。
2. 遠程鏈接服務端口
   1. 22，SSH遠程連接， 爆破、SSH隧道以及內網代理轉發、文件傳輸等。
   2. 23，Telnet遠程鏈接，爆破、嗅探、弱口令。
   3. 3389，Rdp遠程桌面連接，Shift後門(需要win server 2K3以下系統)，爆破。
   4. 5900，VNC，弱口令爆破。
   5. 5632，PyAnywhere服務，抓密碼、代碼執行。
3. Web應用服務端口
   1. 80、443、8080，常見的Web服務端口，Web攻擊、爆破、對應服務器版本漏洞。
   2. 7001、7002，WebLogic控制檯，java反序列化、弱口令。
   3. 8080、8089，Jboss、Resin、Jetty、Jenkins，反序列化、控制檯弱口令。
   4. 9090，WebSphere控制檯，java反序列化、弱口令。
   5. 4848，GlassFish，弱口令。
   6. 1352，Lotus domino郵件服務，弱口令、信息泄露、爆破。
   7. 10000，Webmin-Web控制面板，弱口令。
4. 數據庫服務端口
   1. 3306，MySQL，注入、提權、爆破。
   2. 1433，MSSQL數據庫，注入、提權、SA弱口令、爆破。
   3. 1521，Oracle數據庫，TNS爆破、注入，反彈Shell。
   4. 5432，PostGreSQL數據庫，爆破、注入、弱口令。
   5. 27017、27018，MongoDB，爆破、未授權訪問。
   6. 6379，Redis數據庫，可嘗試未授權訪問，弱口令爆破。
5. 郵件服務端口
   1. 25，SMTP郵件服務，郵件僞造。
   2. 110，POP3協議，爆破、嗅探。
   3. 143，IMAP協議，爆破。
6. 網絡常見協議端口
   1. 53，DNS域名系統，允許區域傳送，DNS劫持，緩存投毒，欺騙。
   2. 67、68，DHCP服務，劫持、欺騙。
   3. 161，SNMP協議，爆破、蒐集目標內網信息。
7. 特殊服務端口
   1. 2181，Zookeeper服務，未授權訪問。
   2. 8069，Zabbix服務，遠程執行、SQL注入。
   3. 9200、9300，Elasticsearch服務，遠程執行。
   4. 11211，Memcache服務，未授權訪問。
   5. 512、513、514，Linux Rexec服務，爆破、Rlogin登錄。
   6. 873，Rsync服務，匿名訪問、文件上傳。
   7. 5690，Svn服務，Svn泄露、未授權訪問。
   8. 50000，SAP Management Console，遠程執行。

基本用法：

1. -p，通過該參數指定一個想要掃描的端口號，可以指定一個也可以指定一個範圍：
   • nmap -p 80 xxx.xxx.xxx.xxx
   • nmap -p 80-800 xxx.xxx.xxx.xxx
2. -sT，掃描TCP端口
   • nmap -sT xxx.xxx.xxx.xxx
3. -sU，掃描UDP端口。
   • • nmap -sU xxx.xxx.xxx.xxx　　

3、Nmap主機發現

1. nmap -PN [ip]：無ping掃描，有些服務器會禁止ping，如果目標對ping掃描沒反應的話，就會直接結束整個過程。無ping掃描就可以繞過服務器對ping的屏蔽。
2. nmap -sP [ip]：僅使用ping協議進行主機發現，有的時候需要快速大量的發現主機，這時僅使用ping協議進行掃描，速度會非常快。
3. namp -PR [ip]：使用ARP協議進行主機發現。只適用於局域網，速度快，且更加精準。

4、Nmap指紋識別

指紋識別技術是衆多生物特徵識別技術中的一種。所謂生物特徵識別技術，就是指利用人體所固有的生理特徵或行爲特徵來進行個人身份鑑定，由於生物識別所具有的便捷與安全等優點，使得生物識別技術在身份認證識別和網絡安全領域擁有廣闊的應用前景，可用的生物識別技術有指紋、人臉、聲紋、虹膜等，指紋是其中應用最爲廣泛的一種。

服務和軟件也有自己的特徵，根據這些特徵能夠判斷出具體的版本。不同的版本對應着不同的漏洞。

1. nmap -sV [ip]，識別服務和軟件版本。
2. nmap -O [ip]，識別操作系統版本。

5、Nmap信息收集

在滲透測試過程中，信息收集非常重要，下面我們就來看一下Nmap收集信息的一些命令。

1. nmap --script ip-geolocation-* www.Oday.cn，ip信息收集。
2. nmap --script whois-domain www.Oday.cn，whois信息查詢。

上面--script選項的意思就是執行nmap自帶的腳本，後面就是其腳本名稱了。這些腳本存放在/usr/share/nmap/scripts文件中。